Konfigurieren Sie Profile und Security Incidents für Microsoft Defender for Endpoint Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie aus Microsoft Defender for Endpoint Fähigkeiten, die das Profil ausführen soll. Sie müssen die Einstellungen so konfigurieren, dass das Profil nur unter den definierten Bedingungen ausgelöst werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.Analyst (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Bei Bedarf können Sie ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen und Filterbedingungen festlegen, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.

    Hinweis:
    Sie können erst zur Seite „Profilkonfiguration“ navigieren, nachdem Sie die Seite „Profildetails“ aufgerufen haben.

    Prozedur

    1. Navigieren zu Microsoft Defender für Endpunkt > Fähigkeitsprofilean.
    2. Klicken Sie nach Abschluss des Abschnitts „Profildetails“ auf Weiteran.
      Überprüfen und konfigurieren Sie die Abschnitte.
    3. Wählen Sie im Abschnitt Incident-Kriterien definieren (Automatisierung) die Option aus Definieren Sie Incident-Kriterien Option zum automatischen Auslösen Microsoft Defender for Endpoint Fähigkeiten im Profil.
      Incident-Kriterien Definieren (Automatisierung) : Definieren Sie die Bedingungen für Security Incidents, die die Microsoft Defender for Endpoint-Fähigkeiten für das Profil automatisch auslösen würden. Wenn Sie nicht auswählen Definieren Sie Incident-Kriterien Option, dann können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
      Hinweis:
      Die Funktionen „Host isolieren“ und „Host-Isolation entfernen“ können nicht automatisch ausgelöst werden.
      1. In Filterbedingungen , Wählen Sie das erforderliche Feld aus.
      2. Hinzufügen Neue Kriterien Und definieren Sie auch ODER Oder UND Bedingung.
    4. Wählen Sie im Abschnitt Genehmigungen die aus Genehmigung Erforderlich Kontrollkästchen, um eine zusätzliche Kontrollstufe bereitzustellen.

      Wenn Sie diese Option auswählen, haben Sie mehr Kontrolle über die Verwendung der Microsoft Defender for Endpoint-Funktionen zum Isolieren von Hostcomputern, Wiederherstellen im Netzwerk und Abrufen von Dateien.

      Die Option Genehmigungen in der Profilkonfiguration wird nur für die Funktionen Host isolieren und Host-Isolation entfernen angezeigt.

    5. Wählen Sie im Abschnitt zusätzliche Konfiguration die aus Definieren Sie Ein Alternatives Feld Option zum Definieren eines alternativen Eingabefelds.
      Zusätzliche Konfiguration : Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um die Microsoft Defender for Endpoint-APIs abzufragen.
      Hinweis:
      Weitere Informationen finden Sie unter Auslöserbedingungen in einem Konfigurationselement.
      1. Wählen Sie aus Definieren Sie Ein Alternatives Feld Option.
      2. Wählen Sie das Eingabefeld aus dem aus Alternatives CI-Auslöserfeldan.
    6. Wählen Sie im Abschnitt Tags die Option aus Tag Anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung von Security Incidents. Der Profilname wird beim Aktivieren des Tags vorangestellt.

      Sie können Security Incidents optional mit Tags für die Tags „Profil initiiert“, „Profil abgeschlossen“ und „Profil fehlgeschlagen“ kennzeichnen. Standardmäßig ist diese Option für alle Profile deaktiviert.

    7. Klicken Fertigan.